Een bewerkersovereenkomst (BWO). Ook wel de schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker, waarin afspraken worden vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. De bewerkersovereenkomst vormt een belangrijk onderdeel binnen de informatiebeveiliging van de gemeente. Maar wat moet er in deze overeenkomst staan? Vanuit de Baseline Informatiebeveiliging Gemeenten (BIG),
is het de wens om concreet te specificeren welke maatregelen de bewerker dient te implementeren/na te leven op het gebied van informatiebeveiliging. In de praktijk zijn er echter verschillende varianten uitgewerkt. Zo hebben Centric en PinkRoccade in overleg met de gebruikersverenigingen en de IBD beide een format opgesteld en heeft de IBD zelf ook een BWO opgesteld. Maar welke variant is nu het meest geschikt?
Uitgangspunten
Om de veilige verwerking van persoonsgegevens te waarborgen dienen de verantwoordelijke en de bewerker duidelijke afspraken te maken wat betreft de taken en de verplichtingen van de bewerker richting de verantwoordelijke. De manier waarop dit wordt afgesproken staat niet vast, maar er is wel in de Wet bescherming persoonsgegevens beschreven wat er minimaal in de bewerkersovereenkomst dient te staan. De IBD heeft onlangs een interne notitie geschreven, waarin zij adviseert om in ieder geval afspraken te maken over de volgende zaken:
- De waarborgen die de leverancier biedt ten aanzien van technische en organisatorische maatregelen en de manier waarop de gemeente dit kan controleren.
- De wijze waarop de gemeente wordt geïnformeerd bij een beveiligingsincident.
- De aansprakelijkheid bij schade doordat in strijd met de wet wordt gehandeld.
- De mate waarin de dienstverlening voldoet aan de wettelijke eisen.
Punt drie en vier worden doorgaans goed beschreven in de verschillende BWO’s. De eerste twee punten worden daarentegen nogal verschillend verwoord als je kijkt naar de drie formats van de IBD, Centric en PinkRoccade.
Zoek de verschillen
Het grootste verschil tussen de BWO’s zit in de mate van detail. De IBD heeft een model opgesteld dat erg volledig en uitgebreid is. Zo zijn onder andere alle relevante BIG-maatregelen opgenomen in de bijlage. Zoals de IBD ook aangeeft is dit uiteraard het ‘ideaalplaatje’. Kortom wil je het maximale eruit halen dan kun je al deze maatregelen hanteren, maar je hebt als gemeente ook alle ruimte om hiervan af te wijken, mits je maar voldoet aan de minimale eisen, namelijk bovenstaande vier punten. De formats van Centric en PinkRoccade zijn daarentegen een stuk minder uitgebreid. Zo wordt in de BWO van Centric niet nader toegelicht wat er wordt bedoeld met ‘passende technische en organisatorische maatregelen’. Tevens wordt de wijze waarop de gemeente dient te worden geïnformeerd bij een beveiligingsincident per BWO verschillend beschreven.
In alle drie de formats staat dat de bewerker de verantwoordelijke moet informeren over beveiligingsincidenten en (mogelijke) datalekken. Echter wordt alleen in het format van de IBD beschreven dat dit binnen 24 uur na de eerste ontdekking dient te gebeuren. Hiernaast beschrijft de IBD dat de bewerker een gedetailleerd logboek moet bijhouden van alle inbreuken op de beveiliging. Evenals de maatregelen die in het vervolg op dergelijke inbreuken zijn genomen, waar bewerker op het eerste verzoek van de verantwoordelijke inzage in geeft. Dit staat niet in de andere twee formats opgenomen.
Tot slot beschrijven Centric en PinkRoccade enkel dat de partijen elkaar volledige medewerking dienen te verlenen bij een noodzakelijke melding richting de Autoriteit Persoonsgegevens (AP) en indien nodig aan de betrokkenen. De IBD gaat hier nog dieper op in en vermeld dat dit op zo kort mogelijke termijn dient te gebeuren. Zijn er overeenkomsten te vinden in de verschillende formats? Jazeker. In alle overeenkomsten staat vermeld dat de bewerker het ‘doen van meldingen aan de toezichthouder(s)’ overlaat aan de verantwoordelijke.
Assurance en certificering
Tot slot, is het belangrijk dat in de BWO certificering en assurance is opgenomen. Certificering betreft het door een onafhankelijke, geaccrediteerde partij laten vaststellen of het managementsysteem van de betreffende organisatie voldoet aan alle eisen op een bepaald gebied. Een voorbeeld hiervan is de ISO27001. Het doel van assurance is om derde partijen, die vertrouwen op een dienst of product, de zekerheid te bieden dat die voldoet aan een overeengekomen normenkader. In dit geval is dat normenkader de BIG. De BWO van de IBD is daarin dus wel compleet (zie bijlage 2). Maar de vraag is of je als gemeente dit ‘ideaalplaatje’ wilt hanteren. Zoals de IBD zelf ook aangeeft kunnen de maatregelen uit de BIG ook worden aangepast.
Kortom; je moet als gemeente het lef hebben de bewerkersovereenkomst (IBD BWO) naar eigen smaak, binnen de kaders van bovenstaande vier punten, aan te passen en daarbij het liefst te differentiëren tussen verschillende typen bewerkers.
- Uber deelde gegevens van chauffeurs met opsporingsdiensten buiten de EU - 9 september 2024
- Ministerie EZ geeft opnieuw 1 miljoen subsidie voor cyberweerbaarheid mkb - 9 september 2024
- Ministerie tegen cyberaanvallen en spionage opgezet in Denemarken - 6 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!